Het nieuwe gevaar: bedrijfsinformatie op persoonlijke apparaten

Twee ton losgeld

Zou jij twee ton aan losgeld betalen aan hackers die jouw gegevens hebben gestolen? Het is een even prikkelende als relevante vraag. De Universiteit van Maastricht deed het eind 2019 namelijk, nadat cybercriminelen via ransomware toegang kregen tot de servers en daarvandaan talloze bestanden ‘gijzelden’. De universiteit zag geen andere uitweg dan te betalen, omdat de schade voor studenten, wetenschappers en medewerkers anders nauwelijks te overzien zou zijn. De impact op de universiteit was fors, financieel en qua reputatieschade.

Coronacrisis vergroot kans op cybercrime
Het verhaal van de Universiteit van Maastricht laat zien wat de impact kan zijn als informatie in verkeerde handen komt. De kans dat dit gebeurt, is bij veel bedrijven en organisatie sinds de uitbraak van COVID-19 alleen maar groter geworden. Veel medewerkers werken thuis op eigen apparaten, of dit nu een laptop, tablet of smartphone is. Waar zakelijke netwerken en apparaten tegenwoordig vrijwel allemaal goed beschermd zijn met een firewall en een back-up, is dit bij persoonlijke devices maar de vraag. Daarnaast is het door de komst van Cloudoplossingen belangrijker geworden om de identiteit van medewerkers te beveiligen. Dit omdat die identiteit bruikbaar is geworden in de gehele Cloud, voor Clouddiensten die door de organisatie in gebruik zijn. En dus niet meer alleen in het eigen netwerk. 

Informatiebeveiliging grootste uitdaging
Beveiliging is een enorm breed begrip. Als ik kijk naar de moderne manier van werken, dan zijn in mijn ogen dit de belangrijkste pijlers:

• Identiteitsbeveiliging
• Werkplekbeveiliging
• Infrastructuurbeveiliging
• Informatiebeveiliging

In november brengen we een whitepaper uit waarin we deze vormen van beveiliging (en de samenhang daartussen) uitgebreid inhoudelijk toelichten. In deze blog beperk ik me tot informatiebeveiliging, omdat dit naar mijn mening een van de grootse uitdagingen is in de huidige tijd. Elk bedrijf of elke organisatie moet nu én de komende jaren informatiebeveiliging op de prioriteitenlijst hebben staan! 

In 3 stappen jouw bedrijfsinformatie beveiligen
Als ik het heb over het beveiligen van de informatie binnen de Werkplek van de Toekomst, dan bedoel ik met informatie: bestanden en e-mails. Doordat steeds meer medewerkers werken op persoonlijke apparaten, wil je als bedrijf grip krijgen (of houden) op deze informatie. Dat kan in drie heldere stappen. Aan de hand van een voorbeeld van het fictieve bedrijf Abbelsab licht ik deze stappen hieronder toe. 

Stap 1 | Bepaal waar je bedrijfsinformatie zich bevindt
Voor je beleid kunt maken, zul je eerst moeten uitzoeken welke informatie er binnen je organisatie is en waar die zich bevindt. Ons fictieve voorbeeldbedrijf Abbelsab heeft een eigen mailserver waar alle e-mails opgeslagen staan. Bestanden staan op een netwerkschijf, maar ook op een Microsoft Teams-omgeving. Voor CRM wordt gebruik gemaakt van een Cloudapplicatie waar de gegevens van alle relaties, klanten en contactmomenten in opgeslagen worden.

Stap 2 | Bepaal het beveiligingsbeleid voor je informatiestromen
Nu Abbelsab weet waar de informatie staat, is het van belang om per informatiestroom te bepalen hoe die beveiligd moet worden. Abbelsab maakt de volgende keuzes. Alle e-mails worden standaard beveiligd met encryptie. Alle bestanden die op de netwerkschijf opgeslagen worden, worden verplicht voorzien van een label. Per label is omschreven wat wel of niet met de informatie mag gebeuren. In Teams wordt ingeschakeld dat bestanden niet gedeeld kunnen worden met externen. Het CRM heeft eigen beveiligingsmaatregelen getroffen, maar doordat alle bestanden voorzien worden van labels worden ook alle bestanden die in het CRM geplaatst worden daarmee beveiligd. 

Stap 3 | Volgen en bijstellen beveiligingsbeleid 
Na het invoeren van het beleid gaat Abbelsab het beveiligingsbeleid volgen. Dit is geen eenmalige stap, maar een doorlopend proces. Met de tools die hiervoor beschikbaar zijn binnen Microsoft 365 kunnen zij zien waar informatie zich bevindt en welke personen informatie openen. Ook kunnen ze informatie terugtrekken, waardoor die informatie, waar die zich ook bevindt, niet meer leesbaar is. Het volgen en bijstellen van het beveiligingsbeleid zal voor veel organisaties en/of IT-leveranciers een nieuw onderdeel zijn in het beheerproces. Het vraagt een andere manier van denken van de mensen die zich hiermee (gaan) bezighouden. Vormt iets een gevaar of bedreiging voor de organisatie? Het antwoord op die vraag moet gegeven worden door de beheerder, die daarmee ook direct bepaalt of er ingegrepen moet worden. Gelukkig zijn er tools op de markt die hierbij kunnen helpen. 

5 tools om jouw informatie te beveiligen
Vanuit UNO gebruiken wij onder meer de volgende tools van Microsoft voor het beveiligen van informatie:

1. Azure Information Protection (AIP)| Hiermee kun je documenten en e-mails classificeren en (optioneel) beveiligen door labels toe te passen. Labels kunnen automatisch worden toegepast door beheerders, handmatig door gebruikers of via een combinatie.
2. Advanced Threat Protection (ATP) | Beveiligt e-mail, bestanden en Office 365-toepassingen. Deze dienst biedt aanvullende beveiligingsfuncties naast je standaard IT-beveiliging, zoals spoofing intelligence en ant-phishingfuncties. Daarmee ben je nog beter beschermd tegen verschillende vormen van cyberaanvallen zoals onveilige bijlages en schadelijke links. 
3. Data lost prevention (DLP) | Maakt gebruik van regels en beleid om te bepalen welke bestanden en gegevens vertrouwelijk, kritiek of gevoelig zijn. Het doel: voorkomen dat deze worden gedeeld of verzonden. Een DLP-beleidsregel wordt gesynchroniseerd met Exhange Online, OneDrive for business, SharePoint Online en Office 2019 desktopprogramma’s. 
4. Azure Rights Management (RMS) | Maakt gebruik van beleidsregels voor versleuteling, identiteitsbepaling en verificatie om bestanden en e-mails te beveiligen. Werkt op meerdere apparaten. Gegevens kunnen zowel binnen als buiten de organisatie worden beveiligd. De permanente beveiliging kan ook wettelijk verplicht worden gesteld voor naleving van juridische detectievereisten.
5. Windows Information Protection (WIP) | Biedt een geïntegreerde en centrale manier voor het beheer van bedrijfsgegevens in applicaties en documenten. Daarnaast ontstaat de mogelijkheid om toegang tot zakelijke gegevens van zowel bedrijfs- als persoonlijke apparaten te verwijderen. De duidelijke scheiding tussen persoonlijke- en bedrijfsgegevens, zonder dat werknemers tussen apparaten hoeven te schakelen, is een groot voordeel. 

Whitepaper en webinar
Wil je meer weten over informatiebeveiliging en/of andere vormen van beveiliging? In november brengen we een whitepaper uit waarin we de belangrijkste vormen van beveiliging (en de samenhang daartussen) uitgebreid inhoudelijk toelichten. Eind november organiseert UNO bovendien een webinar over dit onderwerp. Houd onze website en onze LinkedIn-pagina dus goed in de gaten!  

Heb je nu al prangende vragen over (informatie)beveiliging? Mijn collega’s en ik helpen je graag. Neem contact op met je vaste contactpersoon, mail naar evreugdenhil@uno.nl of bel naar  070-3300010 .

Elwin Vreugdenhil 
Business Development Manager bij UNO